AWSアカウントのセキュリティ設定を実施

awsはアカウントだけ作ってあまり活用はしてなかったのだけれど、
一つ前の記事でS3を使ったりした際にアカウントのセキュリティ云々があったので設定をしてみた。

まず、アカウントを作っただけの状態ではルートのアカウントだけが設定された状態。
この状態でアイパスが漏れたら何でもやりたい放題
怖すぎます。

設定前のセキュリティ状況。
何もしてません

2段階認証

Authy

まずは2段階認証。
iPhoneアプリ「Authy」というアプリを使ってみる。

ダウンロードして起動し、電話番号とメールアドレスを入力。 SNSか電話で取得したPINコードを入力してアクティベート。

AWSで設定

サービス->IAMのセキュリティステータスから、
ルートアカウントのMFAをアクティブ化、を開き、MFAの管理、をクリック。

仮想MFAデバイス、を選択して、次のステップ、へ。

デバイスはインストールしてるので、チェックをつけて次のステップへ。

QRコードが表示される。

アプリの設定

初めての起動だったので、ど真ん中にある+をタップ。
バックアップのためのパスワードを設定するように言われるので、入力。
するとQRコードを読み取る画面になるので、上記QRコードをスキャン。

スキャン後、Doneで完了。

その後、6桁の数字が、30秒ごとに切り替わるので、
先程のQRコードの画面で、2つの異なる数字を入力します。

無事、完了。

1つ完了。

IAMアカウントの作成

アカウントの作成

awsの申込に使用したアカウントは常用しないほうがよいよう。
なので、普段使用するユーザーとして、IAMアカウントを作成する。

先程のセキュリティ設定から、個々のIAMユーザーの作成を開き、ユーザーの管理をクリック。

一つ前の記事とかぶるが、ユーザーを作成。


キーが生成されるので、ダウンロードして保管しておくこと。

ポリシーのアタッチ

作成したアカウントをクリックし、ポリシーのアタッチをクリック。

今回はログインユーザー代わり、ってことで、AdministratorAccessを選択する。

パスワードの設定

アカウントをクリックした後の画面から、パスワードを設定する。

パスワードは自動で発行にしておいた。

パスワードが発行される。ダウンロードするなどして管理する。

MFAの追加

同じようにauthyでMFAを追加しておく。
同じように、QRコードを読み取り、キーを2つ打って追加完了。

2つ完了。

IAMアカウントにパスワードを設定

セキュリティ設定から、
IAMパスワードポリシーの適用を開き、パスワードポリシーの管理をクリック。

表示されるポリシーを適切に設定してパスワードポリシーの適用をクリック。
今回はデフォルトのままにしておいた。

3つ完了。

グループの作成と割り当て

セキュリティの設定からグループを使用してアクセス許可を割り当てを開き、グループの管理をクリック。
IAMユーザーを作成した時と同じように。
新しいグループの作成をクリック。

適当に名前をつけて、、

ポリシーを同じく、AdministratorAccessにセットして、作成。

とりあえず作成だけでOKとしておく。
アカウントは1つだけなので。

4つ完了。

ルートアクセスキーの削除

順番が逆ですが、最後にルートアクセスキーを削除する。

右上のユーザー名をクリックし、認証情報をクリック。

アクセスキー、を開く。

2つある。
調べてみると、先日別のブログ用に導入したWordPressのアドオン、Amason JSがこのルートアクセスキーを使用しているよう。
そういえば追加したような…。
WordPressでアマゾン・アソシエイトを簡単設定!Amazon JSプラグイン | EasyRamble

このプラグインはいまのところIAMのキーには対応していない、とのこと。
なのでこのアクセスキーは削除できない。
同じくもう一つのものもウィジェットに使っている可能性大。
2008年作成、とかなり古いのだけど…。

結果

結局全部クリアには出来なかった。
ルートアクセスキーを無効化に出来なかったのでその他の設定の効力がかなり落ちている感じだけど、
(IAMユーザーの設定とかしててもルートで入れるので意味ない)
とりあえず2段階認証だけは入れておけばいいと思います。

参考

AWSアカウント作ったらこれだけはやっとけ!IAMユーザーとAuthyを使ったMFAで2段階認証 – Qiita
AWS アカウントのアクセスキー管理

aws
   このエントリーをはてなブックマークに追加